04-06-2009 01:05 AM |
JASAKOM Kena CSRF... |
massmissile Murid Akademi II
Posts: 23
Joined: 13.10.08
Location: Niigata
Age: 39
|
WTF... Keren banget dah...
Code http://jasakom.com/forum/viewtopic.php?f=112&t=9728&start=15&hilit=phpmyadmin
Bakalan ngirim kokis kesini...
Code http://horor.xtgem.com/gue.gif%5b/img%5d
Leap First..Think Later..Loncat Dulu..Baru Mikir..Hehehehe |
|
|
|
04-06-2009 09:07 AM |
RE:
JASAKOM Kena CSRF... |
EVA-00 HackAge
Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
|
url password 'kue' nya apaan?? hihihi jadi pengen liat siapa aja yg udah kena...
oia buat temen-temen yang blm tau apa itu CSRF akan saya jelaskan sesingkat-singkatnya, CSRF (Cross Site Request Forgery) adalah salah satu vulnerability pada Web Applikasi yang bekerja dengan cara mengeksploitasi suatu task dari
sebuah Web dengan memanfaatkan Autentikasi yang dimiliki oleh korban.
bingung??? silahkan baca echo|zine, volume 6 issue 18 yang di tulis oleh L41n
btw bugnya Udah di patch sama jasakom blm ya??
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
04-06-2009 11:27 AM |
RE:
JASAKOM Kena CSRF... |
cakill Murid Akademi I
Posts: 2
Joined: 29.05.09
Location: Dolly Rock City
Age: 40
|
maap kakak..
/me kalo boleh tau...
apa ntuh semacem hacking juga???
mohon penjelasan kk..
/me masih nyubi |
|
|
|
04-06-2009 03:26 PM |
RE:
JASAKOM Kena CSRF... |
EVA-00 HackAge
Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
|
Hacking macemnya ada banyak bro, dan CSRF itu salah satunya. penjelasannya silahkan klik link ezine yg sebelumnya sudah saya post.
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
06-06-2009 07:19 PM |
RE:
JASAKOM Kena CSRF... |
younuzes Genin
Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
|
om Andri ...
gw dah nyoba CSRF di XYB ...
tepatnya di edit signature biar setiap orang yang ngeklik link gw di bakal ngerubah signature nya jadi yang gw pengen ... gw juga nyoba di chat form ...
tapi gk bisa ...
Automatic submitnya sih jalan...pas 2 detik di bakal ke redirect ke halaman actionnya ... tapi form nya jadi kosong lagi...jadi signature yang ketulis gk ada .... padahal klo gk pek automatic submit bisa ... ya normal lah kayak web laennya...
itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..
|
|
|
|
06-06-2009 08:05 PM |
RE:
JASAKOM Kena CSRF... |
alpheen Anbu
Posts: 460
Joined: 21.02.09
Age: 32
|
WoW boleh nyoba nee.... |
|
|
|
06-06-2009 08:23 PM |
RE:
JASAKOM Kena CSRF... |
younuzes Genin
Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
|
kok nyoba ..? kan gw bilang gk bisa (kayaknya)....makanya gw pengen tahu cara pencegahannya... |
|
|
|
08-06-2009 02:49 PM |
RE:
JASAKOM Kena CSRF... |
EVA-00 HackAge
Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
|
younuzes wrote:
itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..
bukan lewat situ, tapi lewat cookies. setiap user yg udah login pasti dapet cookies kok. makanya seandainya kamu nyoba CSRF di xyb ya blm tentu bisa, karna saat user kena jebakan, situs ini mengecek, apakah cookiesnya user yang bersangkutan atau tidak???
kurang lebih begitu bro.
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
08-06-2009 09:20 PM |
RE:
JASAKOM Kena CSRF... |
younuzes Genin
Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
|
makin gk ngerti saya om....
maksud lewat cookies maca stealing cookies gitu..
jadi saya nyoba nya gini.....
gw ngebikin file yang sama dengan halaman edit signature...
tapi file tersebut sebelumnya gw edit supaya value dari signature tersebut jadi semau gw...trus actionnya juga gw ganti biar bisa jalan...trus di tambahin dengan automatic submit ..mirip kayak tutorial dari ezine yang om kasih,,,,
nah setelah semua sudah jalan .. misa saya upload file tersebut di hosting...lalu saya membuat link tipuan...yang mengarah ke file tersebut...sehingga tiap user xyb yang sudah login lalu di mengkli link yang saya buat ... dia bakal masuk ke halaman tadi..yang bakal ngerubah signaturenya dia.. tapinya dengan automatic submit dengan delay yang cepet...sypaya gk keliatan..walaupun agak mencurigakan banget...
tapi yang jadi masalah...ketika kita masuk ke halaman tersebut dan dalam 2 detik kita ke redirect ke halaman asli edit signature...gk ada perubahan sama sekali...
beda halnya ketika orang yang mengklik link tersebut secara sengaja menekan tombol submit..(tanpa menggunakan automatic submit.) |
|
|
|
10-06-2009 02:51 PM |
RE:
JASAKOM Kena CSRF... |
EVA-00 HackAge
Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
|
Saat user buka situs xyb dan login, Server XYB akan mengirimkan cookies dan session yang di simpen di direktori temp di komputer user, sampe sini paham kan...
nah saat user nge-klik "URL" yang lu buat, secara gak langsung, user merequest isi script, dan kebetulan script yg lu buat berfungsi untuk meng-update Signature
nah saat meng-update signature, session & cookie yang sebelumnya telah di download akan di cek (di bandingkan). apakah berasal dari Server XYB atau bukan, apakah User tersebut yang login atau bukan.
Jika iya, maka proses update akan di lakukan, tapi kalo bukan akan di redirect ke form input.
sampe sini paham gak bro?
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).
..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
|
|
|
|
10-06-2009 06:01 PM |
RE:
JASAKOM Kena CSRF... |
younuzes Genin
Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
|
ok saham saham...thanks om.. |
|
|
|
11-06-2009 12:20 PM |
RE:
JASAKOM Kena CSRF... | Edited by
massmissile 11-06-2009 12:22 PM
|
massmissile Murid Akademi II
Posts: 23
Joined: 13.10.08
Location: Niigata
Age: 39
|
Aduh mav baru balez..Alhamdulillah bro, om t0m saat itu juga n hari itu juga keknya langsung ngepatch coz dia udah bilang semua cookiesnya udah diapus..Gw aja langsung ganti password buru2 waktu itu..Kampret tuh yang bikin, mungkin kalo gw yang kena sih ga apa tapi kalo tiba2 kek admin or moderator yang setingkat admin kek si t0m yang kena kan berabe..Bisa2 diacak dah Jasakom =_="
Segitu dulu brother..Btw yang udah kena salah satu nya om t0m sendiri..wkwkwwkwkwk..
Leap First..Think Later..Loncat Dulu..Baru Mikir..Hehehehe |
|
|
|
11-06-2009 08:29 PM |
RE:
JASAKOM Kena CSRF... |
Cruz3N Murid Akademi II
Posts: 33
Joined: 03.12.08
Age: 36
|
WAkakakakak... Rame banget... CSRF tuh kayak One Click To Jail yah? Hehehehehe... ASik banget kalo diterapin ke ADsense...
CMIIW |
|
|
|
04-07-2009 10:39 PM |
RE:
JASAKOM Kena CSRF... |
andi Jounin
Posts: 160
Joined: 05.03.09
Location: blacknet
Age: 36
|
hem...
aku gak tau lagi ne,.,,tapi yang jelas informasinya sangat berguna,,
thanks ya ,,,
|
|
|
|
23-08-2010 11:50 AM |
RE:
JASAKOM Kena CSRF... |
odiex Genin
Posts: 43
Joined: 13.08.10
|
thread menarik...... ninggalin jejak dulu deh.... ^_^
-----------------------O.D.I.E.X-----------------------
On Duty Inject Exploit the X systems. |
|
|